Hva er poenget med å sparke inn åpne dører?
Gang på gang leser vi at Riksrevisjonen dømmer den ene etter andre offentlige instansen nedenom og hjem, enten det er direktorater, kommuner eller andre offentlige etater. Nå sparker Riksrevisjonen igjen inn åpne sikkerhetsdører.
Det gjør de i en undersøkelse av Justis- og beredskapsdepartementets samordning av arbeidet med digital sikkerhet i sivil sektor, der de peker på at dårlig samordning kan få alvorlige konsekvenser.
Dette er svært alvorlig
De fleste som jobber i den kommersielle sikkerhetsbransjen, kunne spådd dette resultatet. Vi ser daglig at digital gjeld – gamle IT-løsninger – er resultatet i de aller fleste IT-miljøer som er bygget over tid – ofte uten at man har innført et sikkerhetsdesign og oppdatert sikkerhetsløsninger underveis hos virksomhetene.
Det vi ser daglig i vår bransje kan være en konsekvens av hovedfunnet til Riksrevisjonen:
«Justis- og beredskapsdepartementet ivaretar ikke ansvaret de har for digital sikkerhet i sivil sektor godt nok. Dette kan få alvorlige konsekvenser for kritiske samfunnsfunksjoner og nasjonale sikkerhetsinteresser.»
Nå kan myndighetene ta grep
Derfor er det en glede å lese stortingsmelding om nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet. I stortingsmeldingen står det at regjeringen vil vurdere å stille tydeligere lovkrav til virksomheter for å sikre nasjonal sikkerhet.
Dette haster i en situasjon der truslene blir flere og enda mer sofistikerte enn tidligere. Det å ikke stille lovkrav til digital sikkerhet, blir på samme måte som om gamle bruktbiler ikke hadde et krav om EU-kontroll – nettopp for å sikre at alle biler som ferdes på veiene har et minimumskrav til sikkerhet. På samme måte kan nye lovkrav om IT-sikkerhet sikre de digitale verdiene til norske virksomheter.
Sjumilssteg for IT-sikkerheten
Her kan myndighetene ta et sjumilssteg i riktig retning ved å se til Nasjonal sikkerhetsmyndighets (NSM) grunnprinsipper og innføre et krav for minimumsnivå for sikkerhet. Her må de være konkrete på hvilke tiltak som må på plass og ikke bare vise til prinsipper eller rammeverk fra EU. En definert liste med fokus på grunnleggende sikkerhetshygiene og konkrete tiltak, vil stoppe opptil 98 prosent av dagens angrep. Vi må stenge de digitale dørene, slik at de ikke står vidåpne.